Paweł <r...@1...0.0.1> writes:

> tylko po co ta wymiana ma hybrydy, ktore i tak trzeba zatrzec
> po skimmingu paska?

Jak to "trzeba"? Normalnie nie mamy pojecia o skimmingu, wiec nie mozemy
karty zastrzec.

> oczywiscie banki zalecaja by zmieniac pin jak najczesciej,
> tylko prosze zerknac w TOiP. druga i kolejne zmiany pinu,
> to z reguly kwoty rzedu kilku zlotych, no bo przeciez bezpiecznie
> nie moze byc tanio.

Teoretycznie PIN mozna zmieniac bez udzialu banku, po prostu wkladajac
karte do odpowiedniego urzadzenia (np. wlasnego peceta z odpowiednim
oprogramowaniem). Nie jest to zrodlem zadnego dodatkowego zagrozenia dla
banku (ani klienta, jesli pecet jest bezpieczny, nie musi to byc zreszta
pecet). Niestety wiele kart wymaga weryfikacji PINu online przez bank,
uzywa wspolnej koncepcji jednego PINu dla sciezki magnetycznej oraz dla
chipa, albo po prostu nie pozwala na zmiane PINu uzytkownikowi "bo tak".
Dodatkowo wymuszanie podawania PINu w przypadku transakcji niechipowych
naraza klienta na skimming sciezki magnetycznej i przechwycenie PINu, a
banki bardzo niechetnie przyjmuja do wiadomosci, ze znajomosc zawartosci
sciezki magnetycznej i PINu przez druga strone niekoniecznie oznacza, ze
transakcja odbyla sie za zgoda i w ogole za wiedza ich klienta.

Niestety musze sie chyba zgodzic z pogladem, ze obecnie
najbezpieczniejszym dla klienta sposobem korzystania z kart jest
posiadanie dwoch (kompletow): jedna karta z chipem + PINem, ze
skasowanym paskiem magnetycznym, druga karta (tez hybryda, zeby w razie
fraudu liczyc na "liability shift") wylacznie podpisywana, nigdy
PINowana (no moze w bankomatach).
--
Krzysztof Halasa